Den Angreifern gekonnt begegnen

Zehn Tipps, wie Sie Ihr WLAN schützen

08.05.2008
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.

MAC-Adressen-Autorisierung einsetzen

Router und Access Points neuerer Bauart unterstützen die Möglichkeit, über Access Control Lists (ACLs) den Zugriff nur für autorisierte Clients zu gewähren. Durch dieses Whitelist-Verfahren wird allen nicht in der Geräte-Adressenliste aufgeführten Rechnern der Netzzugang per se untersagt. Der Administrator muss die MAC-Adressen aller autorisierten WLAN-Karten manuell eintragen. Wird eine ACL erst nachträglich angelegt, lassen sich in der Regel aus dem Router die Geräte-Adressen der bereits im Netz aktiven Rechner auslesen und automatisch eintragen. Hacker können sich nur dann in ein ACL-geschütztes Netz einwählen, wenn sie vor der Listenanlegung schon einmal im Netz unterwegs waren. Das Arbeiten mit solchen Listen scheitert vor allem in größeren Unternehmensnetzen aber häufig an der aufwändigen Pflege.

Feste IP-Adressen bestimmen

Soweit möglich, sollten alle Clients ausschließlich feste IP-Adressen verwenden. Einer per DHCP automatisch zugewiesene dynamische IP-Adresse erleichtert es Angreifern, in das Netz einzudringen. Je größer der Bereich der zugelassenen IP-Adressen ist, desto eher finden Unbefugte ein Einfallstor. Daher sollte die Zahl der erlaubten Adressen auf die der durch eine festgelegte IP autorisierten Clients beschränkt sein.

Ad-hoc-Modus deaktivieren

Im eingeschalteten Ad-hoc-Modus werden Netze entsprechend der Anzahl der sich neu einwählenden Geräte erweitert oder verkleinert, die zugelassenen IP-Adressbereiche variieren somit ständig. Dabei spielt es keine Rolle, ob eine feste oder dynamische IP verwendet wird. Der Ad-hoc-Modus ist bei vielen WLAN-fähigen Endgeräten standardmäßig aktiviert, wird in den meisten Fällen aber nicht benötigt. Er sollte auf allen Clients ausgeschaltet sein, weil er ein oft übersehenes beliebtes Einfallstor für Unbefugte darstellt.